OpenForum RSS: Компания RedHat опубликовала результаты тестирования производительности IPsec https://www.opennet.me/openforum/vsluhforumID3/134084.html Компания Red Hat опубликовала результаты оценки производительности шифрованных каналов связи, организованных с использованием протокола IPsec, на современном оборудовании, а также сравнила пропускную способность IPsec на базе алгоритмов аутентифицированного шифрования AES-GCM и AES-SHA1...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61426<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#90 Tue, 25 Jun 2024 12:51:04 GMT принтер Вы купите?<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#89 Tue, 25 Jun 2024 07:12:20 GMT &gt; Никто не знает (или, по крайней мере, не желает написать публично). А <br>&gt; было бы действительно интересно сравнить AES с алгоритмом Kuznyechik. Что касается <br>&gt; известных атак с уменьшенным количеством раундов, Kuznyechik, похоже, имеет больший запас <br>&gt; безопасности; самая известная атака на AES-128 ломает 8 (из 10) раундов <br>&gt; (80 % пути прохождения шифра), а самая известная атака на Kuznyechik <br>&gt; ломает 5 (из 10) раундов (50 % пути прохождения шифра).<br><br>На этом фоне "менее официозные" Salsa и Chacha - выглядят как EPIC WIN! Ибо с 1 стороны быстрые как панос в софте. С другой более 5, чтоли, раундов из 20 никто не смог, хотя там целая тусовочка криптографов и в отличие от кузнечиков ломали качественно. Да и там - такая "атака", что ее за всю жизнь не провести, "атака" только потому что на несколько битов упрощает, реально сложность все равно нереалистичная.<br><br>А заодно вон то не страдает тайминг-атаками по сторонним каналам в отличие от алго на S-box. Для AES примеров тыринга ключа с соседней VM - есть. Компания RedHat опубликовала результаты тестирования произво... (нах.) https://www.opennet.me/openforum/vsluhforumID3/134084.html#88 Tue, 25 Jun 2024 06:47:53 GMT но есть нюанс - "утилизировать" вы их сможете только бредогенернатором.<br><br>Поскольку все 56 ядер будут заняты ипсеком.<br><br>На полезную деятельность вряд ли что останется, даже "при отключенном firewalld (отдельно смешно что авторы статьи путают firewalld и nft или что там в их ведре было)" и что там еще они понаотключали.<br><br>А реальный вывод что целиком занятое ядро xeon способно на 6 гигабит (тоже при многих если, включая героическую победу над numa).<br><br>Т.е. ищите карты с офлоадом, если вам не для локалхоста, вот и весь вывод.<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#87 Mon, 24 Jun 2024 17:58:55 GMT Очевидно же, что всем тем, кто ищет более производительный шифрованный канал связи, нежели позволяет AES-128. Вдруг на 100-гигабитном сетевом адаптере Kuznyechik достигает не 50, а 70 Gbit/s? Ждём результаты тестирования компании NTC IT ROSA.<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#86 Mon, 24 Jun 2024 15:02:32 GMT А кому он интересен, кроме той державы, где этот GOST и сотворили?<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#85 Mon, 24 Jun 2024 08:05:27 GMT Никто не знает (или, по крайней мере, не желает написать публично). А было бы действительно интересно сравнить AES с алгоритмом Kuznyechik. Что касается известных атак с уменьшенным количеством раундов, Kuznyechik, похоже, имеет больший запас безопасности; самая известная атака на AES-128 ломает 8 (из 10) раундов (80 % пути прохождения шифра), а самая известная атака на Kuznyechik ломает 5 (из 10) раундов (50 % пути прохождения шифра).<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#84 Mon, 24 Jun 2024 07:57:04 GMT &gt; Не согласен с этим. Производительность WireGuard коррелирует с производительностью процессора.<br><br>Учитывая сколько у современных процов ядер - там наверное вообще можно на типовом серваке впна все трафиком залить просто. Chacha быстрый же, да и остальное - тоже. Оно в софте сильно быстрее AES'а.<br> Компания RedHat опубликовала результаты тестирования произво... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134084.html#83 Mon, 24 Jun 2024 07:13:14 GMT Не согласен с этим. Производительность WireGuard коррелирует с производительностью процессора. Да, в некотором случае (виртуальные хосты без закрепления CPU, с включённым turbo boost и большим количеством ядер CPU) IPsec с аппаратным ускорением шифрования на основе AES-128 может превосходить пропускную способность WireGuard. Но в невиртуализированных средах (или в средах, где ядра виртуальных машин прикреплены к физическим ядрам) WireGuard увеличивает пропускную способность и превосходит производительность IPsec, поскольку он может использовать CPU более эффективно (меньше переключений контекста), даже с меньшим количеством ядер CPU в сравнении с IPsec и отключённым turbo boost. В целом следует отметить, что выбор правильной системы VPN должен быть многофакторным, что приводит к вариантам использования обеих систем.<br><br>https://core.ac.uk/download/pdf/322886318.pdf<br> Компания RedHat опубликовала результаты тестирования произво... (User) https://www.opennet.me/openforum/vsluhforumID3/134084.html#82 Mon, 24 Jun 2024 06:18:37 GMT Сравнивали уже - для оверлейных сетей кубика. IPSec закономерно выигрывает за счет аппаратной поддержки шифрования. <br>